【雲智維資安威脅趨勢通知】
伊朗駭客APT35利用假徵才網站對航太及半導體產業發動攻擊
威脅情報業者ThreatBook的研究人員表示APT35最新一波攻擊,鎖定航太及半導體產業而來,其攻擊範圍橫跨美國、泰國、阿拉伯聯合大公國(UAE)、以色列,駭客利用假造的徵才網站及公司網站,並要求使用者必須透過VPN存取為由,誘騙他們下載惡意程式並執行,而在過程中攻擊者也濫用合法雲端服務,例如:OneDrive、Google Cloud、GitHub,從而隱匿行蹤。
攻擊者為誘騙目標人士上當,不僅標記航太相關職缺的薪水高於其他工作,也製作授權存取應用程式的使用教學影片,藉以降低受害者戒心。若求職者依照指示下載駭客提供的檔案,其檔案將包含合法的OneDrive元件SignedConnection.exe,以及第一階段、第二階段的惡意程式secur32.dll、Qt5Core.dll。
第一階段惡意工具是以C#打造而成,主要的功能包含提供SignedConnection.exe的圖形介面,並將黑白惡意軟體元件複製到電腦以及竄改登錄檔,讓這些惡意軟體隨著電腦開機載入。另一個惡意程式Qt5Core.dll,則是由secur32.dll改名後,再透過FileCoAuth.exe載入,並透過GitHub、Google Drive取得C2伺服器位址和建立通訊。
IoC:
- msdnhelp[.]com
- xboxapicenter[.]com
- visioffline[.]com
- c1f1ce81115bed45c594aeeb92adb687bb04478cb40bb9dab538277d0c8cc13e
- bf308e5c91bcd04473126de716e3e668cac6cb1ac9c301132d61845a6d4cb362
- cfdc7747b716be5817ce1bc76decfb3e1b27113545a01558ed97ab5fd024c53e
- 918e70e3f5fdafad28effd512b2f2d21c86cb3d3f14ec14f7ff9e7f0760fd760
- 88097e4780bfdc184b16c5a8a90793983676ad43749ffca49c9d70780e32c33a
- e5fbaab1270deb86b419abb348f19c2b9afd6e5c2e151c4d0869f6c5d889e029
- db034eb09fea48cc77d19804126f64c5336dd4e33b3884dc33d5336a434cb315
https://threatbook.io/blog/id/1095